지난 11일 아파치(Apache) 소프트웨어 재단의 오픈소스 자바(Java) 로깅 프레임워크인 ‘Log4j’ 라이브러리에서 심각한 보안 취약점(CVE-2021-44228)이 발견돼 국정원은 긴급 보안 권고문을 내리고 상황 파악과 차단에 주력하며 대응에 나섰다.
위험도 10.0의 매우 심각한 수준의 취약점으로 분류된 CVE-2021-44228(원격코드 실행)은 해커가 Log4j 취약버전 대상으로 악성페이로드 전송시, 원격코드 실행이 가능하여 심각한 피해를 야기할 수 있는 만큼 보안 업데이트 등 관련 조치를 빠르게 수행해야 한다.
보안 취약점 진단 자동화 솔루션 개발사인 에스에스알(대표 고필주)은 해당 취약점과 같은 CVE 취약점을 자동으로 체크하여 자산위험에 노출되었는지 수시로 진단하고 빠르게 조치할 수 있는 CVE 취약점 진단 자동화 솔루션 ‘솔리드스텝 CVE(SolidStep CVE)’ 최신 버전으로 발빠른 대응에 나선다고 14일 밝혔다.
솔리드스텝 CVE는 CVE 취약점 진단부터 권고, 조치 결과 확인, 보고까지 모든 과정을 체계적으로 원스톱 관리할 수 있는 솔루션이다.
특히 최신 발표되는 CVE 취약점 정보를 주기적으로 반영하여 취약점들을 지속적으로 점검하고 분석하여 피해 사고를 사전에 예방할 수 있기 때문에 이번 로그4j 취약점과 같이 긴급 보안 취약점이 발견되는 즉시 빠르게 진단하여 조치할 수 있으며 향후 유사 CVE 취약점에 대해서도 능동적인 대응이 가능하다.
CVE 취약점은 CCE 취약점과 다르게 하루에도 수십 개씩 발견되고 있으며, 이를 악용한 새로운 해킹 공격도 지속적으로 증가하고 있다. 게다가 아직까지 국내에서는 CVE 취약점에 대한 강제성이 미비하고 솔루션을 도입하려고 해도 외산 솔루션에 의존하는 실정이다.
보안 컨설팅의 노하우와 검증된 기술력을 집약해 보안 취약점 진단 자동화 솔루션을 직접 개발한 에스에스알은 이러한 국내 시장에 맞는 CVE 취약점 진단 솔루션의 필요성을 직시하여 솔리드스텝 V2.5를 업그레이드하면서 진단 유형을 세분화한 솔리드스텝 CVE 최신 버전을 제공하고 있다.
기존 솔리드스텝을 도입한 고객들은 별도의 에이전트 추가 없이 솔리드스텝 CVE 연동만으로 Log4j 취약점과 같이 MITRE 및 KISA에서 제공하는 CVE 취약점들을 자동으로 점검하여 선제 대응할 수 있도록 지원한다.
솔리드스텝 CVE는 인프라 취약점 진단 자동화 솔루션인 솔리드스텝 CCE와 동일하게 사용자 편의성을 높인 Web UI 방식으로 자산그룹 관리, 상세 진단 결과 가이드, 진단 결과에 대한 조치관리 및 이력관리 기능을 적용함은 물론 국내외 보안 컴플라이언스를 모두 완벽하게 준수한다.
뿐만 아니라 고객 맞춤 진단을 위해 에이전트 방식, 원격 진단 방식, 수동 진단 방식을 지원함으로써 진단의 정확도를 높였으며, 보유 자산 안의 모든 소프트웨어 및 사양, 최신 패치 반영 여부 등을 쉽고 빠르게 원클릭 전수 진단할 수 있어 보다 안전한 자산 및 인벤토리까지 체계적 관리가 가능한 특징을 가지고 있다.
에스에스알 고필주 대표이사는 “에스에스알은 IT 인프라부터 어플리케이션까지 모든 IT 자산의 취약점 진단이 가능한 보안 취약점 진단 솔루션 라인업을 보유하고 있으며, 최고의 보안 전문가들이 끊임없이 보안 트렌드에 맞는 기능 개발에 최선을 다하고 있다”라며 “이번 Log4j와 같은 치명적이고 긴급한 취약점으로 인한 피해를 사전에 방지하고, 고객의 보안 사각지대를 줄일 수 있는 대한민국 대표 보안 솔루션이 되도록 더욱 노력하겠다”라고 말했다.
★정보보안 대표 미디어 데일리시큐!★
